Interviewfragen zu Windows Internals
The registry, processes, Active Directory, tokens and Windows-centric attack and defence.
Eine Bedrohung läuft nur im Speicher, ohne Datei auf der Festplatte. Wie analysierst du sie?
Dateilose Malware lebt im Prozessspeicher (Injection, reflektives Laden, LOLBins), also sichere und analysiere ein Speicherabbild, um injizierten Code, verdächtige Module und Prozessbeziehungen zu finden. Ein Festplatten-AV-Scan und eine saubere Festplatte sagen nichts über ein Implantat im Speicher aus. Der Papierkorb ist irrelevant. Speicherforensik ist das richtige Werkzeug, wenn es keine Datei zu triagieren gibt, und du solltest sichern, bevor der Host neu gestartet wird.
Das EDR meldet einen Prozess, der den LSASS-Speicher liest. Warum ist das wichtig und was tun Sie?
LSASS speichert zwischengespeicherte Anmeldedaten und Geheimnisse, daher ist ein unerwarteter Prozess, der seinen Speicher liest, ein Kennzeichen für Anmeldedatendiebstahl (z. B. ein Dump im Mimikatz-Stil). Triagieren Sie den auffälligen Prozess und dessen übergeordneten Prozess, isolieren Sie den Host, um laterale Bewegung zu stoppen, und rotieren Sie die Anmeldedaten, die erfasst worden sein könnten — einschließlich privilegierter und Dienstkonten. Es hat nichts mit Grafik-Rendering oder Speicherplatz zu tun, und es als normal abzutun, kann zur Kompromittierung der gesamten Domäne führen. Die harmlos klingenden Ablenker sind genau die Art, wie Analysten einen aktiven Einbruch übersehen.
Ein Benutzer öffnete ein Office-Dokument und aktivierte Makros; das EDR zeigt anschließend einen von Word erzeugten Kindprozess. Was ist Ihre erste Maßnahme?
Word, das direkt nach dem Aktivieren von Makros einen Kindprozess erzeugt, ist ein klassisches Muster für Erstzugriff per Schaddokument. Isolieren Sie den Host, um die Ausbreitung zu begrenzen, erfassen Sie flüchtige Beweise und untersuchen Sie den erzeugten Prozess, seine Netzwerkaktivität und jegliche Persistenz. Den Benutzer zu bitten, die Datei zu schließen, oder Office zu reparieren, behandelt keine ausführende Nutzlast, die möglicherweise bereits gelaufen ist. Nichts zu tun, weil die Datei per E-Mail kam, ist verkehrt herum — E-Mail ist genau der Lieferweg dieses Angriffs. Erst eindämmen, dann untersuchen.
Unter Windows zeigt eine Warnung eine neue geplante Aufgabe, die PowerShell aus %TEMP% startet. Was ist das wahrscheinlich und Ihre Maßnahme?
Legitime Software führt PowerShell nur selten über eine frisch erstellte geplante Aufgabe aus %TEMP% aus — das ist eine verbreitete Persistenz- und Ausführungstechnik. Untersuchen Sie die Aufgabendefinition, das aufgerufene Skript, den erstellenden Prozess und die Zeitachse, dämmen Sie den Host ein und durchsuchen Sie die Umgebung nach demselben Muster. Updates sehen nicht so aus, blindes Vertrauen in geplante Aufgaben ignoriert eine bekannte TTP, und das Löschen von System32 zerstört das Betriebssystem, ohne etwas gegen die Bedrohung zu tun. Die ersten drei Optionen spiegeln allesamt gefährlich schwaches Urteilsvermögen wider.
Was ist der Unterschied zwischen EDR und herkömmlichem signaturbasiertem Antivirus?
Herkömmliches Antivirus gleicht Dateien mit Signaturen bekannter Malware ab und blockiert oder isoliert sie – gut gegen bekannte Bedrohungen, schwach gegen neuartige oder dateilose Angriffe. EDR zeichnet kontinuierlich das Endpunktverhalten auf (Prozesse, Netzwerk, Registry, Speicher), nutzt Verhaltensanalytik zur Erkennung verdächtiger Aktivität und ermöglicht Respondern, aus der Ferne zu untersuchen, zu jagen und einzudämmen oder zurückzurollen. AV ist Prävention per Signatur; EDR ergänzt Sichtbarkeit, Erkennung und Reaktion.
Nenne die gängigen Wege, auf denen Malware auf einem Windows-Host über Neustarts hinweg persistiert, und wie du danach jagen würdest.
Persistenz ist, wie Malware Neustarts und Abmeldungen übersteht. Die typischen unter Windows sind Registry-Run/RunOnce-Schlüssel (HKLM und HKCU), geplante Aufgaben und Windows-Dienste, dazu Autostart-Ordner, WMI-Ereignisabonnements und DLL-Hijacks. Du jagst sie mit autoruns/Sysinternals, Sysmon und Ereignisprotokollen – auf der Suche nach unsignierten Binaries, seltsamen Pfaden wie %AppData% und Einträgen, die direkt nach der Erstkompromittierung erstellt wurden.
Erkläre die Reihenfolge der Flüchtigkeit und warum sie die Abfolge der Beweissicherung im DFIR bestimmt.
Die Reihenfolge der Flüchtigkeit ordnet Beweise danach, wie schnell sie verschwinden, sodass man das Fragilste zuerst sichert. Grob: CPU-Register/Cache, dann RAM und Laufzeitzustand (Prozesse, Netzwerkverbindungen, ARP), dann temporäre Dateien/Swap, dann Disk, dann Remote-Logging und Überwachungsdaten, und zuletzt Archivmedien und Backups. Außerdem arbeitet man auf forensischen Kopien, hasht sie und führt eine Beweiskette, damit Beweise zulässig bleiben.
Wo werden Benutzer-Passwort-Hashes unter Windows und unter Linux gespeichert, und warum zielen Angreifer auf diese Dateien?
Unter Windows liegen die Hashes lokaler Konten (NTLM) in der SAM-Hive unter C:\Windows\System32\config\SAM, geschützt solange das OS läuft; lebende Anmeldedaten sitzen im LSASS-Speicher, und Domänen-Hashes liegen in NTDS.dit auf einem Domänencontroller. Unter Linux liegen Hashes in /etc/shadow (nur für root lesbar), während /etc/passwd Kontometadaten enthält. Angreifer stehlen diese, um Passwörter offline zu knacken oder Pass-the-Hash zu betreiben.
Erkläre Process Injection, nenne ein paar Techniken und sage, wie ein Blue Team sie erkennt.
Process Injection führt Angreifercode im Speicherbereich eines legitimen Prozesses aus, sodass die Aktivität sich einfügt und das Vertrauen dieses Prozesses erbt. Klassische Techniken sind DLL-Injection (CreateRemoteThread + LoadLibrary), Process Hollowing (einen harmlosen Prozess suspendiert starten, ihn entladen, bösartigen Code schreiben) und APC-Injection. Verteidiger erkennen sie über EDR-API-Hooks, anomale Eltern/Kind-Beziehungen oder Speicherbereiche (RWX, nicht dateigestützter ausführbarer Speicher) und Sysmon-CreateRemoteThread-Ereignisse.
Welche Windows-Ereignis-IDs und -Protokolle würdest du bei der Untersuchung eines Einbruchs zuerst heranziehen?
Das Security-Protokoll ist primär: 4624 erfolgreiche Anmeldung (mit Anmeldetyp), 4625 fehlgeschlagene Anmeldung, 4634/4647 Abmeldung, 4672 spezielle Rechte zugewiesen, 4720 Konto erstellt, 4688 Prozesserstellung (mit Befehlszeile, falls aktiviert) und 4768/4769 Kerberos. Ergänze 7045 Dienstinstallation (System-Protokoll), 4698 geplante Aufgabe erstellt und PowerShell-Skriptblock-Protokollierung (4104). Anmeldetyp und Befehlszeilen-Auditing machen diese Protokolle nützlich.
Erkläre, wie die Kerberos-Authentifizierung mit TGTs und Service-Tickets funktioniert.
Kerberos stützt sich auf ein vertrauenswürdiges Key Distribution Center (KDC). Der Client authentifiziert sich einmal beim Authentication Server und erhält ein mit dem Schlüssel des KDC verschlüsseltes Ticket-Granting-Ticket (TGT). Um einen Dienst zu erreichen, legt er das TGT dem Ticket-Granting-Service vor und erhält ein mit dem Schlüssel dieses Dienstes verschlüsseltes Service-Ticket. Der Dienst entschlüsselt es und vertraut ihm. Passwörter durchqueren nie das Netz, und Tickets sind zeitlich begrenzt.
Wann greifen Sie zu Ghidra oder IDA statt zu einem Debugger wie x64dbg, und wie ergänzen sie sich?
Ein Disassembler wie Ghidra oder IDA liefert die vollständige statische Karte: Querverweise, dekompilierten Pseudocode und jeden Codepfad, ob er ausgeführt wird oder nicht. Ein Debugger wie x64dbg lässt Sie das Sample kontrolliert ausführen — Haltepunkte setzen, Register und Speicher prüfen, die Entschlüsselung beobachten und den Pfad verfolgen, den der Code mit echten Eingaben tatsächlich nimmt. Man liest Struktur und Absicht statisch, hängt dann den Debugger an, um aufzulösen, was die statische Analyse nicht kann: zur Laufzeit entschlüsselte Strings, dynamisch aufgelöste APIs, gepackte Payloads und welchen Zweig eine Bedingung nimmt. Beide zusammen schließen ihre gegenseitigen Lücken.
Was sind Packer und Obfuskation, und wie erkennt man sie in einem Binary?
Packen komprimiert oder verschlüsselt die eigentliche Payload und stellt ihr einen Stub voran, der sie zur Laufzeit in den Speicher entpackt; Obfuskation transformiert Code oder Daten, um dem Lesen und Signaturen zu widerstehen. Packen erkennt man an hoher Sektionsentropie nahe 8,0, einer winzigen oder nur aus dem Stub bestehenden Importtabelle, ungewöhnlichen oder schreib-ausführbaren Sektionsnamen wie UPX0, einem Einsprungpunkt außerhalb von .text, einer großen virtuellen Größe gegenüber einer kleinen Rohgröße sowie Detektoren wie Detect It Easy oder PEiD. Keines davon ist allein schlüssig, daher wägen Analysten mehrere Signale zusammen ab und bestätigen, indem sie das Entpacken zur Laufzeit beobachten.
Führen Sie mich durch das Windows-PE-Dateiformat und welche Teile Sie beim Triage eines Samples untersuchen.
Eine PE-Datei beginnt mit dem DOS-Header und seinem e_lfanew-Zeiger auf die PE/NT-Header, die den File Header und den Optional Header enthalten (Einsprungpunkt, Image Base, Subsystem). Sie ist in Sektionen unterteilt — .text für Code, .data, .rdata, .rsrc für Ressourcen — jede mit virtueller Adresse und Rohgröße. Beim Triage liest man die Importtabelle nach verdächtigen APIs, die Sektionstabelle nach seltsamen Namen und hoher Entropie, die auf Packen hindeuten, den Timestamp und den Rich Header, eingebettete Ressourcen und jede digitale Signatur. Diskrepanzen zwischen diesen verraten viel, noch bevor man die Datei ausführt.
Erklären Sie gängige Prozessinjektions-Techniken und die API- und Verhaltenssignaturen, die sie verraten.
Prozessinjektion führt bösartigen Code in einem anderen Prozess aus, um sich zu verstecken und dessen Vertrauen zu erben. Die klassische Remote-Injektion reserviert Speicher in einem Ziel mit VirtualAllocEx, schreibt eine Payload per WriteProcessMemory und führt sie mit CreateRemoteThread aus. Varianten umfassen DLL-Injektion per LoadLibrary, Process Hollowing, das einen suspendierten legitimen Prozess aushängt und sein Image ersetzt, APC-Injektion, die Code in einen Thread einreiht, und reflektives oder manuell gemapptes Laden, das LoadLibrary ganz vermeidet. Man erkennt sie an den verräterischen API-Sequenzen, RWX-Speicher in einem normalerweise sauberen Prozess, Threads ohne Backing-Datei auf der Festplatte und Eltern-Kind-Anomalien.
Beschreibe, wie du ein gepacktes Sample entpackst, um den ursprünglichen Code zu erreichen.
Entpacken stellt den ursprünglichen Code wieder her, den der Packer verborgen hat. Für bekannte Packer nutzt du den passenden Unpacker oder einen Emulator. Für eigene Packer entpackst du manuell: Führe das Sample in einem Debugger aus, lass den Stub die Payload in den Speicher dekomprimieren, finde den Moment, in dem er zum ursprünglichen Entry Point springt (oft durch Breakpoint auf Speicher, der ausführbar wird, oder auf den Tail-Jump), dumpe dann das Prozess-Image aus dem Speicher und baue die Import Address Table mit einem Werkzeug wie Scylla oder PE-sieve wieder auf. Das Ergebnis ist eine lauffähige oder analysierbare PE, die die echte Payload enthält.
Was prüfst du, wenn du SMB und SNMP offen auf einem Host findest?
Bei SMB enumerierst du Freigaben, prüfst auf anonymen/Null-Session-Zugriff, listest Benutzer auf und bestimmst die Version für bekannte CVEs. Bei SNMP probierst du Standard-Community-Strings wie „public“ und gehst die MIB durch, um Benutzernamen, laufende Prozesse, installierte Software und Netzwerkdetails zu extrahieren.
Wie gehst du die Rechteausweitung auf einem Windows-Ziel an?
Enumeriere die aktuellen Privilegien (whoami /priv), fehlkonfigurierte Dienste (schwache Berechtigungen, ungequotete Dienstpfade), AlwaysInstallElevated, geplante Aufgaben, gespeicherte Anmeldedaten und fehlende Patches. WinPEAS oder PowerUp automatisieren den Durchlauf; Token-Privilegien-Missbrauch wie SeImpersonate ist ein häufiger, wertvoller Treffer.
Führen Sie mich durch Kerberoasting — wie es funktioniert, warum es möglich ist und wie Verteidiger es stoppen.
Jeder authentifizierte Domänenbenutzer kann ein Kerberos-Service-Ticket (TGS) für jedes Konto mit einem SPN anfordern. Dieses Ticket ist mit dem NTLM-Passwort-Hash des Dienstkontos verschlüsselt, sodass Sie es extrahieren und das Passwort offline knacken — kein privilegierter Zugriff zu Beginn nötig, und es ist nahezu lautlos.
Sie haben einen Host in einem segmentierten Netzwerk kompromittiert. Erklären Sie, wie Sie pivotieren, um Systeme zu erreichen, die Sie nicht direkt berühren können.
Pivoting verwandelt einen kompromittierten Host in ein Relais, damit Sie interne Segmente erreichen, zu denen Ihre Maschine nicht routen kann. Sie nutzen Port-Forwarding, einen SOCKS-Proxy über Ihren C2-Kanal (z. B. Chisel, SSH-Dynamic-Forwarding) oder agentenbasiertes Routing und führen dann Werkzeuge durch diesen Tunnel, um das nächste Subnetz anzugreifen.
Sie haben eine Shell mit niedrigen Rechten auf einem Windows-Host gelandet. Wie weiten Sie Ihre Rechte aus?
Enumerieren Sie die Rechte des Kontos und die Fehlkonfigurationen des Hosts: Token-Privilegien wie SeImpersonate, Dienstpfade ohne Anführungszeichen, schwache Dienstberechtigungen, AlwaysInstallElevated und gespeicherte Zugangsdaten. Missbrauchen Sie dann das zuverlässigste — Token-Impersonation (Potato-Angriffe) ist ein gängiger Weg zu SYSTEM.
Beide beinhalten fehlgeschlagene Logins. Wie würden Sie in Ihren Logs einen Brute-Force-Angriff von einem Password Spray unterscheiden?
Brute Force zielt auf ein einzelnes Konto mit vielen Passwortversuchen, daher sieht man viele Fehlschläge auf einen Benutzernamen konzentriert. Password Spray dreht das um: ein oder wenige gängige Passwörter über viele Konten probiert, langsam und unauffällig, sodass jedes Konto nur ein paar Fehlschläge sieht. Das Erkennungssignal ist das Verhältnis von Konten zu Fehlschlägen und das Timing, nicht die reine Anzahl der Fehlschläge.
Können Sie erklären, wie sich EDR, XDR und SIEM unterscheiden und wo jedes einzelne passt?
EDR ist endpointfokussiert: Es zeichnet Prozess-, Datei- und Netzwerkaktivität auf Hosts auf und reagiert darauf. XDR erweitert diese Korrelation über mehrere Domänen — Endpoint, Netzwerk, Identität, E-Mail, Cloud — als eine herstellerintegrierte Stack. SIEM ist die breite Log-Aggregationsschicht, die Daten aus allem aufnimmt, auch aus sicherheitsfremden Quellen, für Detektion, Suche und Compliance.
Ein Angreifer hat auf einem Host Fuß gefasst. Nach welchen Anzeichen von Lateral Movement würden Sie jagen?
Lateral Movement bedeutet, dass ein Angreifer einen Fußabdruck nutzt, um andere Systeme zu erreichen. Anzeichen sind unerwartete Netzwerk-Logons (Typ 3) und RDP (Typ 10), Zugriff auf Admin-Shares wie C$ und ADMIN$, Remote-Ausführungstools wie PsExec, WMI und WinRM, Pass-the-Hash-Muster und ein normalerweise lokales Konto, das sich plötzlich an vielen Hosts authentifiziert.
Erklären Sie mir, was die Windows-Event-IDs 4624, 4625 und 4688 bedeuten und wie Sie sie in einer Untersuchung nutzen würden.
4624 ist ein erfolgreicher Logon, 4625 ein fehlgeschlagener Logon und 4688 eine Prozesserstellung. In einer Untersuchung nutzen Sie 4625, um Credential-Angriffe aufzuspüren, 4624 (mit seinem Logon-Typ und der Quelle), um einen erfolgreichen Zugriff und dessen Zustandekommen zu bestätigen, und 4688, um zu sehen, was tatsächlich ausgeführt wurde, idealerweise mit aktiviertem Kommandozeilen-Auditing.
Erhalte 100 Cybersecurity-Interviewfragen + Antworten
Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.
Kein Spam. Jederzeit abbestellbar.